VPN Server - Linux en overige clients

woensdag 18 juni 2003 22:53

Acties:

Verwijderd

Topicstarter

Hallo ik ben nu al een tijdje bezig met me vpn server onder SuSE 7.3 te laten draaien.

Mijn Situatie is als volgt:

Client ---> Internet ---> Firewall en VPN-server

De Firewall en VPN - Server zijn 1 server !!!!!!

Ik heb in me mijn firewall het portje 1723 zowel TCP als UDP open gezet.
Als ik intern een vpn sessie gaat op starten naar me vpn server dan gaat alles goed maar vanaf internet niet.

Dit is het gene wat je te zien krijg als je vanaf internet wilt inloggen op me vpn server:

Jun 8 21:48:39 idefix kernel: SuSE-FW-ACCEPTIN=eth1 OUT= MAC=00:50:bf:7b:cb:46:00:00:77:8f:72:a2:08:00 SRC=62.45.83.176 DST=62.45.127.158 LEN=52 TOS=0x00 PREC=0x00 TTL=60 ID=5008 DF PROTO=TCP SPT=1694 DPT=1723 WINDOW=60352 RES=0x00 SYN URGP=0 OPT (020405A00103030201010402)
Jun 8 21:48:39 idefix pptpd[2488]: CTRL: Client 62.45.83.176 control connection started
Jun 8 21:48:39 idefix pptpd[2488]: CTRL: Starting call (launching pppd, opening GRE)
Jun 8 21:48:40 idefix pppd[2489]: pppd 2.4.1 started by root, uid 0
Jun 8 21:48:40 idefix pppd[2489]: using channel 1
Jun 8 21:48:40 idefix pppd[2489]: Using interface ppp0
Jun 8 21:48:40 idefix pppd[2489]: Connect: ppp0 <--> /dev/pts/1
Jun 8 21:48:40 idefix pppd[2489]: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x46eb1d30> <pcomp> <accomp>]
Jun 8 21:49:12 idefix last message repeated 16 times
Jun 8 21:49:34 idefix last message repeated 11 times
Jun 8 21:49:34 idefix pppd[2489]: Modem hangup
Jun 8 21:49:34 idefix pppd[2489]: Connection terminated.
Jun 8 21:49:34 idefix pppd[2489]: Exit.
Jun 8 21:49:34 idefix pptpd[2488]: CTRL: Client 62.45.83.176 control connection finished

Hopelijk weet iemand me hier me te helpen $_/-\o_$

woensdag 18 juni 2003 23:39

Acties:

Verwijderd

Je probeert zo te zien een PPTP tunnel op te zetten. Wat je vergeet is dat je ook het GRE protocol moet toelaten naast poort 1723 tcp. GRE is IP type 47.

woensdag 18 juni 2003 23:51

Acties:

_-= Erikje =-_

erg vervelend is ook dat de server een connectie terug wil maken naar de client (ftp style zeg maar)

donderdag 19 juni 2003 14:33

Acties:

sebas

Ik heb het een paar weken geleden ook opgezet, en zelfs gedocumenteerd. Ik wilde de verbinding 128 bits encrypten, daarvoor is ppp_mppe als kernelmodule nodig. Je kunt mijn documentatie vinden op http://plone.vizzzion.org/linux/vpn

Er staat ook kort beschreven hoe je de GRE connecties toelaat, dus wat over de configuratie van de firewall.

VPN roelt.

Everyone complains of his memory, no one of his judgement.

donderdag 19 juni 2003 17:35

Acties:

Verwijderd

Topicstarter

Ik ga eens even stoeie met het toelaten van GRE connecties

Bedank voor jij tips tot nu toe

zaterdag 21 juni 2003 12:21

Acties:

Verwijderd

Topicstarter

Ik ben even wezen stoeie met het toelaten van GRE connecties.
Ik had de volgende regels toegevoegd aan mijn firewall:

iptables --insert OUTPUT 1 \
--source 0.0.0.0/0.0.0.0 \
--destination 0.0.0.0/0.0.0.0 \
--jump ACCEPT --protocol gre \
--out-interface eth1

iptables --insert INPUT 1 \
--source 0.0.0.0/0.0.0.0 \
--destination 0.0.0.0/0.0.0.0 \
--jump ACCEPT --protocol gre \
--in-interface eth1

eth1 is de interface naar het Internet toe

Maar het probleem blijf bestaan.
Toen heb ik het geprobeerd met de firewall uit en ook toen kwam ik er niet in

vrijdag 27 juni 2003 19:27

Acties:

Verwijderd

Topicstarter

Weet iemand al een oplossing voor dit probleem

zaterdag 28 juni 2003 00:39

Acties:

duronbug

Step on it.....!

sebas schreef op 19 June 2003 @ 14:33:
Ik heb het een paar weken geleden ook opgezet, en zelfs gedocumenteerd. Ik wilde de verbinding 128 bits encrypten, daarvoor is ppp_mppe als kernelmodule nodig. Je kunt mijn documentatie vinden op http://plone.vizzzion.org/linux/vpn

Er staat ook kort beschreven hoe je de GRE connecties toelaat, dus wat over de configuratie van de firewall.

VPN roelt.

Ik heb het ook zoals jou gedaan. Alleen ik krijg maar geen verbinding vanuit Windows XP. Ik ben het aan het testen over LAN. Dus ik heb verder niet met die firewall rules te maken.
Hieronder de log file:

CTRL: Client 192.168.10.5 control connection started
Jun 28 00:19:04 CO71478-A pptpd[27232]: CTRL: Starting call (launching pppd, opening GRE)
Jun 28 00:19:04 CO71478-A pppd[27233]: pppd 2.4.2b1 started by root, uid 0
Jun 28 00:19:04 CO71478-A pppd[27233]: using channel 30
Jun 28 00:19:04 CO71478-A pppd[27233]: Using interface ppp0
Jun 28 00:19:04 CO71478-A pppd[27233]: Connect: ppp0 <--> /dev/pts/3
Jun 28 00:19:04 CO71478-A pppd[27233]: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xf4457269> <pcomp> <accomp>]
Jun 28 00:19:04 CO71478-A pptpd[27232]: GRE: Discarding duplicate packet
Jun 28 00:19:04 CO71478-A pppd[27233]: rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0xf4457269> <pcomp> <accomp>]
Jun 28 00:19:06 CO71478-A pppd[27233]: sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xf4457269> <pcomp> <accomp>]
Jun 28 00:19:06 CO71478-A pppd[27233]: rcvd [LCP ConfAck id=0x1 <asyncmap 0x0> <magic 0xf4457269> <pcomp> <accomp>]
Jun 28 00:19:06 CO71478-A pppd[27233]: rcvd [LCP ConfReq id=0x1 <mru 1400> <magic 0x3e3a615e> <pcomp> <accomp> <callback CBCP>]
Jun 28 00:19:06 CO71478-A pppd[27233]: sent [LCP ConfRej id=0x1 <callback CBCP>]
Jun 28 00:19:06 CO71478-A pppd[27233]: rcvd [LCP ConfReq id=0x2 <mru 1400> <magic 0x3e3a615e> <pcomp> <accomp>]
Jun 28 00:19:06 CO71478-A pppd[27233]: sent [LCP ConfAck id=0x2 <mru 1400> <magic 0x3e3a615e> <pcomp> <accomp>]
Jun 28 00:19:06 CO71478-A pppd[27233]: sent [LCP EchoReq id=0x0 magic=0xf4457269]
Jun 28 00:19:06 CO71478-A pppd[27233]: MPPE required, but MS-CHAP[v2] auth not performed.
Jun 28 00:19:06 CO71478-A pppd[27233]: sent [LCP TermReq id=0x2 "MPPE required but not available"]
Jun 28 00:19:06 CO71478-A pptpd[27232]: CTRL: Ignored a SET LINK INFO packet with real ACCMs!
Jun 28 00:19:06 CO71478-A pppd[27233]: rcvd [LCP code=0xc id=0x3 3e 3a 61 5e 4d 53 52 41 53 56 35 2e 31 30]
Jun 28 00:19:06 CO71478-A pppd[27233]: sent [LCP CodeRej id=0x3 0c 03 00 12 3e 3a 61 5e 4d 53 52 41 53 56 35 2e 31 30]
Jun 28 00:19:06 CO71478-A pppd[27233]: rcvd [LCP code=0xc id=0x4 3e 3a 61 5e 4d 53 52 41 53 2d 30 2d 52 41 49 4d 4f 4e 44]
Jun 28 00:19:06 CO71478-A pppd[27233]: sent [LCP CodeRej id=0x4 0c 04 00 17 3e 3a 61 5e 4d 53 52 41 53 2d 30 2d 52 41 49 4d 4f 4e 44]
Jun 28 00:19:06 CO71478-A pppd[27233]: rcvd [LCP TermAck id=0x2 "MPPE required but not available"]
Jun 28 00:19:06 CO71478-A pppd[27233]: Connection terminated.
Jun 28 00:19:06 CO71478-A pptpd[27232]: CTRL: Closing child ppp with pid 27233
Jun 28 00:19:06 CO71478-A pptpd[27232]: CTRL: Client 192.168.10.5 control connection finished
Jun 28 00:19:06 CO71478-A pppd[27233]: Terminating on signal 2.
Jun 28 00:19:06 CO71478-A pppd[27233]: Failed to open /dev/pts/3: No such file or directory
Jun 28 00:19:06 CO71478-A last message repeated 8 times

Hij weigert om MSCHAP-V2 te doen. Terwijl ik dit beide heb aangezet, zowel op linux (require-mschap-v2) als op de Windows XP client.

Hier nog de inhoud van /etc/ppp/options:

persist
nobsdcomp
nodeflate
nobsdcomp
debug

#+chap
#+mschap
#+mschap-v2
#mppe-40
#mppe-128
#mppe-stateless
#require-mschap
require-mschap-v2
require-mppe-128
proxyarp

[ Voor 8% gewijzigd door duronbug op 28-06-2003 00:41 ]

zaterdag 28 juni 2003 01:49

Acties:

sebas

hm, probeer het eens met ook 'noauth' in je options. Waar gebruik je die proxyarp voor?

Ik weet het niet meer zeker of mschap-v2 ook mppe vereist, maar check toch even de volgende dingen:

Je moet op de server de mppe patch in je kernel hebben, heb je die?

code:

1	strings `which pppd`\|grep -i mppe\|wc --lines

Dit geeft je informatie erover of je pppd ook mppe ondersteund, het is bij mij 38, 0 betekent geen support.

Wat zegt lsmod? Wordt de mppe module goed geladen (hoort een warning over license gedoe te komen)?

Everyone complains of his memory, no one of his judgement.

zaterdag 28 juni 2003 12:35

Acties:

duronbug

Step on it.....!

Noauth staat er wel in + nog een aantal dingen, maar die hebben hier nix mee te maken.
Ik krijg hem ook wel aan de praat met mschap (v1) zonder mppe. Maar dan heb ik dus geen encryptie, en dat was nou juist wel de bedoeling.

De module word goed geladen. Ook het aantal lines is bij mij meer dan 0, 43 om precies te zijn.

Maar maak jij ook gebruik van een WIndows client ? Of is het bij jou Linux <-> Linux ?

[ Voor 40% gewijzigd door duronbug op 28-06-2003 12:38 ]

zaterdag 28 juni 2003 14:15

Acties:

_JGC_

Ik heb gisteren dus precies hetzelfde gehad. In de ene howto werd ik verwezen naar kernel-patch-mppe voor debian, die geinstalleerd, en toen met bovenstaande howto verdergegaan. Dat werkt dus niet.

Wat je moet doen: pppd 2.4.1 downloaden, patches ophalen voor mppe en die compilen en installeren. Vervolgens je opties even nakijken (bovenstaande howto heeft opties voor pppd 2.4.2, dus werken niet met 2.4.1) en gaan met die banaan. Overigens heb je auth wel nodig

zaterdag 28 juni 2003 14:46

Acties:

duronbug

Step on it.....!

Nou ik zal het nog es proberen met die oudere versie. Volges mij heb ik die wel es vaker geprobeerd. Maar goed ik doe alles nog een keer opnieuw.
Alhoewel ik heb al wel de kernel gepatched met die nieuwe mppe van bovenstaande howto. Moet ik dus waarschijnlijk eerst weer nieuwe kernel source ophalen.

Naja we proberen het gewoon ff

zaterdag 28 juni 2003 15:28

Acties:

duronbug

Step on it.....!

Eindelijk, ik heb het aan de praat. En wel met die nieuwe versie van ppp + mppe 128 bits + mschap v2.

De fout was noauth. Dit moet auth zijn.

Anders zal die zich wel niet goed aanmelden met Login en Passwd.

Pagina: 1

Reageer